Перейти к содержимому


Пользователь месяца
WGN WGN 1-й за Июль
Очков активности: 850 2 темы, 75 сообщений, 7 баллов репутации
Сайт: worldgamenews.com
ТОП самых активных за этот месяц
  • Фотография TimurR
    #1

    TimurR
    Очков активности: 216 3 темы, 15 сообщений, 6 баллов репутации

  • Фотография WGN
    #2

    WGN (worldgamenews.com)
    Очков активности: 64.5 Вне конкурса за определение пользователя месяца

  • Фотография ShowPrint
    #3

    ShowPrint (ShowPrint.ru)
    Очков активности: 52.5 0 тем, 7 сообщений, 5 баллов репутации

  • Фотография BlackLion
    #4

    BlackLion
    Очков активности: 31.5 0 тем, 21 сообщение, 1 балл репутации

  • Фотография Vmir
    #5

    Vmir
    Очков активности: 22.5 Вне конкурса за определение пользователя месяца

  • Фотография Ixman
    #6

    Ixman (o5cat.ru)
    Очков активности: 21 0 тем, 7 сообщений, 2 балла репутации

  • Фотография Napoleon-007
    #7

    Napoleon-007
    Очков активности: 21 0 тем, 14 сообщений, 1 балл репутации

  • Фотография alekswebart
    #8

    alekswebart
    Очков активности: 19.5 1 тема, 10 сообщений, 1 балл репутации

  • Фотография r0mZet
    #9

    r0mZet (rz-style.ru)
    Очков активности: 18 2 темы, 6 сообщений, 1 балл репутации

  • Фотография profi
    #10

    profi (1informer.com)
    Очков активности: 12 0 тем, 8 сообщений, 1 балл репутации

  • Показать весь ТОП 10

Kwork.ru - услуги фрилансеров от 500 руб.

Поддержите форум! =)
Апдейты
  • Яндекс тИЦ: 19.11.2017
  • Яндекс выдача: 13.08.2018
Топ 5 участников по репутации


Обязательные элементы обработки данных для безопасности

#1 lesli007

lesli007
  • Неактивные
  • 108 сообщений
  • Репутация: -4
0

Отправлено 10 April 2011 - 23:50

Здравствуйте!
На любом сайте мы используем формы для открытого круга лиц. Они несут опасность в себе при включении содержимого в базы данных. Расскажите пожалуйста об обязательных элементах обработки данных форм. Как я понимаю их должно быть сразу несколько. А также поясните пожалуйста понятия самых популярных угроз сайту (SQL инъекции и тд). Заранее спасибо, уважаемые вебмастера!

 

 

  • 0

robot

robot
  • Пользователь PRO
  • 2652 сообщений
  • Репутация: 85
Советую обратить внимание на следующее:
  1. Абсолютная защита сайта
  2. Не проходит обновление базы данных
  3. Безопасность хранения в SQL
  4. "Политика конфиденциальности" как обязательный раздел сайта
  5. Вопрос каким пользуетесь антивирусом? И что делаете для безопасности сайта cms?

#2 surfer

surfer
  • Заблокированные
  • 1956 сообщений
  • Репутация: 71

Отправлено 11 April 2011 - 05:40

ищи по запросу SQL инъекция, обсуждалось не раз
например http://www.masterweb...ot-sql-inekcii/
  • 0

#3 ZiTosS

ZiTosS
  • Неактивные
  • 5148 сообщений
  • Репутация: 8

Отправлено 11 April 2011 - 23:01

lesli007,

Расскажите пожалуйста об обязательных элементах обработки данных форм.

Основные обработки форм:
  • защита от sql-инъекций - экранирование спец. символов, которые могут встретиться в запросе к базе данных и которые могут повлиять на запрос.
  • защита от XSS-атак - удаление основных опасных тегов из кода или же преобразование спец. символов HTML в их эквиваленты (от данного типа атак защититься достаточно тяжело, тут много подводных камней)
    Ухищрений обхода простой защиты много: добавление null-символа, преобразование кода в кодировку UTF-7 и принудительное обращение пользователя с данной кодировкой, встройка XSS в картинку (косяк с IE) и многое другое
От SQL-инъекций защита проста:
function escape_string($string)
{
$string = get_magic_quotes_gpc() ? stripslashes($string) : $string;
return mysql_real_escape_string($string);
}

угроз для сайта может быть много:
  • SQL-инъекции
  • загрузка исполняемого файла и его активация
  • XSS-атаки
  • подмена данных сессий и куков жертвы
  • и т.д.

  • 0

#4 lesli007

lesli007
    Topic Starter
  • Неактивные
  • 108 сообщений
  • Репутация: -4

Отправлено 11 April 2011 - 23:47

ZiTosS, то есть обработка
$text=escape_string($text);

выдаст на выходе обработанный текст? я правильно понял?
  • 0

#5 ZiTosS

ZiTosS
  • Неактивные
  • 5148 сообщений
  • Репутация: 8

Отправлено 12 April 2011 - 10:14

lesli007, это защита от SQL-инъекций (желательно передавать в качестве второго параметра в функцию mysql_real_escape_string - соединение с БД).
Простая защита от XSS:
$string = htmlspecialchars($string);
// или
$string = htmlentities($string);

Данные функции по 3 параметра:
  • строка, в которой выполняем преобразования
  • что делать с одинарными и двойными кавычками (преобразовывать или нет)
  • кодировка преобразования

  • 0

#6 lesli007

lesli007
    Topic Starter
  • Неактивные
  • 108 сообщений
  • Репутация: -4

Отправлено 20 April 2011 - 21:22

попробовал данный способ
function escape_string($string)
{
$string = get_magic_quotes_gpc() ? stripslashes($string) : $string;
return mysql_real_escape_string($string);
}


Результат обработка формы проходит нормально. В базу вносится допустим логин с ковычками. Однако потом массив $_SESSION['login'] содержит \'dfgdfg\' а не 'dfgdfg'. Поэтому куча проблем с запросами к базе данных.
  • 0

#7 ZiTosS

ZiTosS
  • Неактивные
  • 5148 сообщений
  • Репутация: 8

Отправлено 20 April 2011 - 22:28

lesli007, есть специальные функции для удаления экранирующих слешей, stripslashes например.
А в логинах кавычки не к чему, я бы по регуляркам такой вариант откинул. Данная обработка важна для больших объемов информации, текстов, которые мы затем хотим выводить на страницу.
  • 0


Оформление форума – IPBSkins.ru